SANGFOR_NGAF_V66_2016年度渠道高级认证培训03_网页防篡改10

1、SANGFOR NGAF 网页防篡改1.0培训内容培训目标NGAF网页防篡改2.0掌握网页防篡改1.0测试方法了解网页防篡改1.0排错及常见问题网页防篡改1.0测试深信服公司简介网页防篡改1.0排错及常见问题SANGFOR NGAF1.1网页防篡改1.0测试1.2网页防篡改1.0排错及常见问题NGAF 网页防篡改1.0 自2003年CNCERT便开始每日对中国大陆地区网站被篡改情况进行跟踪监测，在发现被篡改网站后及时通知网站所在省份的分中心协助解决，争取被篡改网站快速恢复。以2011年为例，中国大陆地区被篡改网站各月累计为36612个，与2010年的34858个相比略增5.1%。另外最新201

2、2年11月第23期的CNCERT互联网安全威胁报告数据如下：NGAF防篡改保存的本地缓存不能用来恢复被篡改的web服务器页面；服务器被篡改，如果绕过NGAF，还是会访问到被篡改的页面。1.1 网页防篡改1.0测试网页防篡改1.0测试步骤如下：1、搭建网络拓扑；2、配置AF防篡改模块；3、图片篡改还原；4、精确匹配-非图片篡改重定向；5、模糊匹配-网页整体篡改重定向；6、模糊匹配-网站内网更新不判断篡改；7、模糊匹配-添加黑链判断篡改不重定向。1、搭建网络拓扑 此处以NGAF网关部署为例，地址转换配置服务器上网的代理上网SNAT规则，配置服务器发布的DNAT规则，映射TCP 7

3、0:80至00:80，配置服务器管理的DNAT规则，映射TCP 70:22至00:22。应用控制策略配置为简化实验，所有区域全部放通2、配置AF防篡改模块 配置精确配置，深度5，检测资源文件篡改，网站篡改后-阻止用户访问-显示提示页面，记录日志。注意：注意：1 1、若网站必须使用域名才能正常访问，则起始、若网站必须使用域名才能正常访问，则起始URLURL必须必须配置域名，其他情况下配置为服务器的真实配置域名，其他情况下配置为服务器的真实IPIP即可即可2 2、DNATDNAT发布的服务器，起始发布的服务器，起始URLURL若填写若填写I

4、PIP，则填写内网，则填写内网真实真实IPIP，不填写发布后的公网，不填写发布后的公网IPIP配置完成后可以看到抓取了33个缓存页面。3、图片篡改还原访问网站首页上方大图为：70/images/header.jpg。删除header.jpg并上传一张本地篡改后的header.jpg，清空浏览器缓存，并再次访问网站，可见网页并未被篡改，查看NGAF控制台，发现有篡改提示，点击“篡改网页”，可以看到是/images/header.jpg被篡改，说明防篡改作用生效。4、精确匹配-非图片篡改重定向网站首页为index.php，下载index.php，篡改后上传至目录，篡改

5、内容为更改栏目名称为Hacked By Helen。篡改前内容篡改后内容清空浏览器缓存，并再次访问网页，发现网页被重定向登陆设备控制台和数据中心查看篡改记录上传原始网页index.php修复，并重新浏览网页，建议多刷几次，并查看NGAF控制台，可见保护状态恢复正常5、模糊匹配-网页整体篡改重定向更改防篡改保护配置为模糊匹配-高，并勾选“检测资源文件篡改”，“检测黑链”网站首页为index.php，SSH下载/var/www/index.php，篡改后上传至/var/www目录，篡改内容为更改网站标题修改title内容为Hacked By Helen，更改网站body内容为Hacked By H

6、elen。窜改前：上传篡改后页面：清空浏览器缓存，并再次访问网页，发现网页被重定向，防篡改生效篡改恢复步骤同4，此处略6、模糊匹配-网站内网更新不判断篡改通过SSH上传更改过栏目标题的index.php，更改内容为将“办事服务”标题变更为“便民服务”清空浏览器缓存，并再次访问网页，发现网页编辑后内容可以正常浏览,登陆NGAF控制台，无篡改警告。7、模糊匹配-添加黑链判断篡改不重定向通过上传被篡改的index.php，篡改内容为添加的黑链篡改前篡改后清空浏览器缓存，并再次访问网页，发现网页无明显变化，登陆NGAF控制台，看到有篡改事件并有篡改日志篡改恢复过程略1.2 网页防篡改1.0排错及常见问

7、题常见的防篡改问题有如下两种1、防篡改状态显示“故障”；2、网页防篡改无效。1、防篡改状态显示“故障”；说明： 故障如上图所示，出现此提示的原因为NGAF无法访问被防护的服务器，无法获取网站缓存，从而导致提示故障。 由于部署在特殊环境，比如vlan环境中，错误的部署方法导致不通的，确认好客户网络环境拓扑，参考“2013年度渠道初级认证培训03_常见网络环境部署”。 另外还有路由或中间网络设备策略拦截导致的情况。 通常出现在2.2及之前版本虚拟网线部署场景中的错误部署模式，此时升级2.2R1及更高版本。网桥部署不使用桥IP时也易造成同样的错误，更改部署模式即可。2.2版本及之前版本的错误部署模式

8、在2.2R1版本以后的不管是哪个部署模式都OK2、网页防篡改无效 路由模式部署并DNAT发布服务器，服务器的url配置为外网IP，而域名IP对应关系中，又配置外网IP对应内网服务器真实IP时可能出现。故路由模式DNAT发布服务器场景下，请务必配置服务器URL和IP对应关系都为内网IP。除此之后，如果防篡改无效，还需确认检测方法为什么？模糊匹配对于从网页中提取title、meta等标签进行对比，若是修改其他内容则不做判定，因此对于客户有严格需求的环境下，建议修改为精确匹配。4.虚拟网线下防护不生效设备虚拟网线部署或网桥部署，防护不生效了，怎么回事？因为AF需要通过爬虫访问到防护网站，没有配置管理口IP，所以不能正常的防护。5.篡改图片后，默认不是还原网站么？AF的图片篡改测试，并没有还原为原来的网站，而是直接显示维护页面了,为什么？答复：改的是图片的引用代码，这就不是篡改图片了，应改变图片本身内容，而不改变图片的文件名。如图片的引用代码为：正确的测试方法为改4ec69e8105239.png的图片内容，如从兔子照片变成老虎照片，但是文件名不变。错误的测